MailPlus Server Massenweise 127.0.0.1-DNSBL-Quries durch MailPlus Server

[rustysponge]

Hallo zusammen,

ich stehe seit einiger Zeit vor folgendem Problem: unser MailPlus Server produziert laut AdGuardHome haufenweise DNSBL-Queries. Soweit ich's verstehe, sind Queries bzgl. 127.0.0.1 und facebook.com durchaus okay, um zu prüfen, ob die BL korrekt funktioniert. Mich macht die Menge der Anfragen aber extrem stutzig. Über den Server laufen nur die Mails von drei Nutzern, d.h. kleine zweistellige Anzahl pro Tag. Das kann, in meinen Augen, nicht erklären warum ich pro Minute zig DNSBL-Queries habe. Zusätzlich habe ich beim DNSBL-Selbsttest ein orangenes Ausrufezeichen und den Hinweis "Keine MX- oder A-Berichte gefunden".



Deaktiviere ich den MailPlus Server, hören die Queries auf. Starte ich ihn neu, fangen sie direkt wieder an. Die Quelle ist also recht eindeutig. Empfang und Versand von Mails funktioniert übrigens völlig problemlos.

Kurz zum Setup:
- MailPlus Server läuft auf einer DS218+
- die DS hängt via Unifi Switch und USG (Router) am Netz (DS hat natürlich eine fixe IP im LAN)
- DNS-Anfragen werden durch AdGuardHome gefiltert (RaspberryPi, fixe IP im LAN, DNS-Server für's lokale LAN via DHCP gesetzt) und dann nach extern weitergereicht

Konfiguration:
- Domain XY.de via DynDNS auf meine IP umgeleitet
- Subdomain mx.XY.de via DynDNS auf meine IP umgeleitet
- MX-Eintrag von XY.de zeigt auf mx.XY.de (Prio 10, Prio 100 ist der Fallback Mailserver vom Domain-Provider)
- Port-Forwarding der relevanten Ports von der USG zur DS (25,143,465,587,993)
- SPF, DKIM und DMARC aktiv, laut Tests mit meiner gmail-Adresse scheint das auch alles zu passen, Mails werden als "signed by... " markiert
- Anti-Spam, postscreen, Antivirus und MCP sind aktiviert
- Hostname (FQDN) im MailPlus Server: mx.XY.de
- Mail-Versand läuft wegen unserer dyn. IP über Relay-Host des Domain-Providers

Im Bedrohungsmonitor oder sonstigen Logs sehe ich keine Aktivitäten, die so häufige Abfragen irgendwie rechtfertigen würden und bin daher einigermaßen ratlos. Liegt's irgendwo an unserem Setup, gibt es eine geheime Einstellung irgendwo oder schaue ich nur in den falschen Logs nach und sehe den eigentlichen Grund der Abfragen daher nicht?

Vielen Dank schon mal für jegliche Hilfe.

 

[rustysponge]

Kurzes Update nach tagelangem Kontakt mit dem Synology-Support: wirklich geholfen werden konnte mir dort auch nicht. Es wurden Logs durchgeschaut, via Fernwartung die Konfiguration meiner DS geprüft und das Ergebnis: es ist alles wie es sein soll.
Das Absurde: zwischendurch funktionierte der DSNBL-Selbsttest auf einmal wieder. Jetzt geht er wieder nicht mehr und ich finde mich damit ab, dass ich das wohl erst beim Wechsel auf eine neue DS (vielleicht) gelöst bekomme. Bis dahin lasse ich AdGuardHome die spezifischen DNS-Anfragen kommentarlos schlucken.
Falls irgendjemand irgendwann mal eine Lösung für das Problem findet... ich freue mich vermutlich auch in 4 Jahren noch über eine Antwort. ;-)

 

[Synchrotron]

Also wenn ich mir den Screenshot so anschaue, ist es wohl dein Antispam, das sich da laufend neue Infos ziehen will. Wenn ich mir die Adressen anschaue, laufen wohl mehrere Helferlein bei dir parallel.

Entweder muss das so, weil es sich immer aktuell halten will (ähnlich wie Virenscanner, auch der taucht da auf), oder es liegt an der Konfiguration.

 

[rustysponge]

Selbst mit deaktiviertem Antispam (getestet mit "nur postscreen"-Tests deaktiviert und einmal auch "Antispam" komplett deaktiviert) tauchen die Queries auf. Die abgefragten Server entsprechen auch nicht denen, die unter "postscreen" konfiguriert sind. Wobei mir auch die Abfrage auf 127.0.0.1 für ein Update der Listen nicht einleuchtet.

 

[rustysponge]

Update: Der Synology-Kundendienst hat sich meinen Server angeschaut, aber kein ungewöhnliches Verhalten feststellen können. Meine Frage, wieso diese Vielzahl an Abfragen auf einmal zustande kommt, konnte man mir nicht beantworten: "Laut den Log-Dateien sieht alles normal aus."

Ohne irgendein Zutun funktioniert jetzt immerhin der DNSBL-Selbsttest wieder und ich lebe mit >20.000 DNS-Queries des Mailservers pro Tag... bis ich die Syno irgendwann mal neu aufsetzen muss.

 

[rustysponge]

Update: Das Problem ist offenbar behoben - die genaue Ursache kann ich nicht nennen, ich musste aber wegen eines fehlerhaften AP im Netzwerk die DHCP-Konfiguration des Switches und der AP ändern. Welche der Einstellungen es genau war, kann ich nicht sagen - oder ob das Problem schon länger behoben war (habe die DNS-Logs nur für 24h gespeichert).

Fazit: Das Problem saß wohl eher vor dem Server/Netzwerk als im Server.

 

[rustysponge]

Update 2 für heute: Ich musste die Synology eben neustarten und nun sind die Abfragen wieder da... Problem lag also wohl doch nicht an der Netzwerk-Konfiguration - schade.

 

[syn_squan]

Hallo!
Gibt es hier eine Lösung inzwischen? Ich habe genau das gleiche Problem.
Mein Adguard Home registriert massenhaft DNS Anfragen im Sekundentakt.
Nachdem ich alle Sicherheitseinstellungen auf OFF gesetzt habe, bleibt es trotzdem bei den vielen Anfragen.
Es könnte an den DNSBL Livechecks für die eigene Domain liegen. Das lässt sich aber nicht deaktivieren, oder?
Bin für jede Hilfe dankbar!
VG

 

[rustysponge]

Leider habe ich bisher keine Lösung gefunden, habe aber auch den DNSBL Check in Verdacht. Ich lasse die Syno mittlerweile über andere DNS Server laufen und nicht über AdGuard, getreu dem Motto: "Aus dem Augen, aus dem Sinn".

 

[syn_squan]

Wow, die Antwort war schnell!
Vielen Dank!

Ich habe das Internet umgegraben in den letzten Tagen und außer Deinem Thread hier irgendwie gar nix zum Thema gefunden. Anscheinend hat sonst niemand dieses Problem oder niemand hat es bemerkt oder niemand nutzt einen eigenen DNS Server.

Andere DNS Server sind wohl eine gute Möglichkeit. Trotzdem belasten die Massen an Anfragen das System aber als Ganzes. Das würde mich glaube ich weiterhin stören.

Im Adguard wurden bei mir für eine Woche 180.000 Anfragen registriert nur für den Mailplus Server.

Ich suche mal weiter und schreibe wahrscheinlich auch mal an Synology. Wenn ich etwas neues herausfinde, schreibe ich es hier auf.

Nochmal Danke!